Питанню захисту персональних даних Державна служба і далі приділяє чимало уваги. Цього разу воно стосується суб’єктів відносин, пов’язаних із персональними даними, у т. ч. володільців баз персональних даних — лікувальних установ і третіх осіб, якими є особи, що мають на меті ознайомлюватися з матеріалами, необхідними для наукових праць.
У якому порядку такі суб’єкти повинні виконувати вимоги Закону про персональні дані?
По-перше, порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.
При цьому ДСЗПД наголошує, що частина 1 ст. 7 Закону забороняє здійснювати обробку персональних даних, які стосуються здоров’я чи статевого життя.
Водночас з огляду на приписи ч. 2 цієї статті та з метою недопущення незаконного використання і подальшого розповсюдження відомостей про фізосіб, які стосуються їхнього здоров’я, до обробки яких ставляться особливі вимоги, доступ до документів, що містять такі персональні дані, може здійснюватися:
1) за умови надання суб’єктом персональних даних однозначної згоди на обробку таких даних;
2) у разі забезпечення суб’єктів відносин, пов’язаних із персональними даними, — третіх осіб (що мають на меті ознайомлюватися з матеріалами, необхідними для наукових праць), знеособленою інформацією щодо персональних даних.
Важливо зазначити, що використання персональних даних з історичною, статистичною чи науковою метою може здійснюватися лише у знеособленому вигляді (ч. 9 ст. 6 Закону).
Отже, лікувальні установи є володільцями баз персональних даних, оскільки здійснюють дії, пов’язані з обробкою персональних даних своїх пацієнтів. У зв’язку з цим забезпечення захисту персональних даних у базі персональних даних покладається на володільця цієї бази (вимоги ч. 3 ст. 24 Закону).
Враховуючи вищенаведене, Державна служба пропонує здійснити виконання зазначених вище вимог шляхом укладення договору між кандидатом та лікувальною установою,який, зокрема, повинен містити такі положення:
1) мета отримання доступу до персональних даних;
2) порядок доступу до персональних даних, зокрема щодо покладення на кандидата зобов’язання стосовно забезпечення виконання вимог Закону та підтвердження спроможності їхнього забезпечення;
3) порядок використання персональних даних, отриманих з науковою метою.
Від себе додамо, що обсяг даних, які буде покладено в основу такого договору, має відповідати даним реєстраційної заяви про реєстрацію бази персональних даних.